Проектирование корпоративной VoIP сети на базе Asterisk в ТОО “Центр технической компетенции DEMEU”

 

 

где:

- = 0,1 с – время реакции системы коммутации, определенное как промежуток времени от момента посылки абонентом сигнала «занятие» на станцию до момента получения сигнала «ответ станции»;

- = 3 с – среднее время слушания сигнала “ответ станции”;

 

-  n - число знаков в абонентском номере, тоновый набор одного символа составляет 0,5 с. Звонок с Астаны на городской номер Алматы, набираемые цифры 8727ХХХХХХХ – 11 символов, 0,5 *11=5,5с ;

- = 2 с – среднее время установления соединения;

- = 7 - 8 с – среднее время выдачи сигналов «посылки вызова» и «контроль посылки вызова»;

- = 1с - среднее время освобождения телефонного тракта для соединения, окончившегося разговором;

- – средняя длительность разговора.

По статистическим данным, средняя продолжительность  разговора составляет 194 секунд. Получаем:

 

 

Переводим секунды  в часы, 213,6 сек = 0,06 часа. Теперь подставляем  данные в формулу 7.1

 

 Эрланг

 

Скорость передачи информации зависит в значительной степени от скорости её создания, способов кодирования и декодирования. Наибольшая возможная в данном канале скорость передачи информации называется его пропускной способностью. Пропускная способность канала, по определению, есть скорость передачи информации при использовании «наилучших» для данного канала источника, кодера и декодера, поэтому она характеризует только канал.

Так как средой передачи звонков является сеть Интернет, либо любая другая IP сеть, нужно просчитать скорость канала необходимую для  качественной передачи голоса по сети. Для расчета необходимо знать: характеристики используемого кодека и среднее количество звонков в час. Рассчитаем требуемую скорость передачи связи по каналу по формуле:

 

 

где,  R – скорость передачи кодека, кбит/с.

По регламенту кодирование полезной информации с помощью кодека G.729 составляет 8 кбит/с, на самом деле кроме полезной информации, кодируется служебная информация, скорость передачи кодека составляет около 16-20 кбит/с.

 

кбит/с

 

При проведении расчетов было выяснено, что для передачи по каналу связи среднего количества звонков в час нужен канал связи скоростью 240 кбит/с. Данная скорость будет вырезана из общей скорости предоставляемой провайдером для компании. Выделенная скорость для сервера Астаны будет составлять 256 кбит/с.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

8 Маршрутизация  звонков

 

Маршрутизация (англ. Routing) — процесс определения  маршрута следования информации в сетях  связи.

Маршруты могут  задаваться административно (статические  маршруты), либо вычисляться с помощью  алгоритмов маршрутизации, базируясь на информации о топологии и состоянии сети, полученной с помощью протоколов маршрутизации (динамические маршруты).

Статическими  маршрутами могут быть:

- маршруты, не изменяющиеся во времени;

- маршруты, изменяющиеся по расписанию;

- маршруты, изменяющиеся по ситуации — административно в момент возникновения стандартной ситуации.

Маршрутизация в компьютерных сетях типично  выполняется специальными программно-аппаратными  средствами — маршрутизаторами; в  простых конфигурациях может  выполняться и компьютерами общего назначения, соответственно настроенными.

Протокол маршрутизации  может работать только с пакетами, принадлежащими к одному из маршрутизируемых протоколов, например, IP, IPX или Xerox Network System, AppleTalk. Маршрутизируемые протоколы определяют формат пакетов (заголовков), важнейшей информацией, из которых для маршрутизации является адрес назначения. Протоколы, не поддерживающие маршрутизацию, могут передаваться между сетями с помощью туннелей. Подобные возможности обычно предоставляют программные маршрутизаторы и некоторые модели аппаратных маршрутизаторов.

Первые маршрутизаторы представляли из себя специализированное ПО, обрабатывающее приходящие IP-пакеты специфичным образом. Это ПО работало на компьютерах, у которых было несколько сетевых интерфейсов, входящих в состав различных сетей (между которыми осуществляется маршрутизация). В дальнейшем появились маршрутизаторы в форме специализированных устройств. Компьютеры с маршрутизирующим ПО называют - программные маршрутизаторы, оборудование - аппаратные маршрутизаторы.

В современных  аппаратных маршрутизаторах, для построения таблиц маршрутизации, используется специализированное ПО ("прошивка"), для обработки же IP-пакетов, используется коммутационная матрица (или другая технология аппаратной коммутации), расширенная фильтрами адресов в заголовке IP-пакета.

Существует  два вида маршрутизации: аппаратная и программная маршрутизация.

Выделяют два  типа аппаратной маршрутизации: со статическими шаблонами потоков и с динамически  адаптируемыми таблицами.

Статические шаблоны  потоков подразумевают разделение всех входящих в маршрутизатор IP-пакетов на виртуальные потоки; каждый поток характеризуется набором признаков для пакета такие как: IP-адресами отправителя/получателя, TCP/UDP-порт отправителя/получателя (в случае поддержки маршрутизации на основании информации 4 уровня), порт, через который пришёл пакет. Оптимизация маршрутизации при этом строится на идее, что все пакеты с одинаковыми признаками должны обрабатываться одинаково (по одинаковым правилам), при этом правила проверяются только для первого пакета в потоке (при появлении пакета с набором признаков, не укладывающимся в существующие потоки, создаётся новый поток), по результатам анализа этого пакета формируется статический шаблон, который и используется для определения правил коммутации приходящих пакетов (внутри потока). Обычно время хранения не использующегося шаблона ограничено (для освобождения ресурсов маршрутизатора). Ключевым недостатком подобной схемы является инерциональность по отношению к изменению таблицы маршрутизации (в случае существующего потока изменение правил маршрутизации пакетов не будет "замечено" до момента удаления шаблона).

Динамически адаптируемые таблицы используют правила маршрутизации "напрямую", используя маску  и номер сети из таблицы маршрутизации для проверки пакета и определения порта, на который нужно передать пакет. При этом изменения в таблице маршрутизации (в результате работы, например, протоколов маршрутизации/резервирования) сразу же влияют на обработку всех новопришедших пакетов. Динамически адаптируемые таблицы также позволяют легко реализовывать быструю (аппаратную) проверку списков доступа.

Программная маршрутизация  выполняется либо специализированным ПО маршрутизаторов (в случае, когда  аппаратные методы не могут быть использованы, например, в случае организации туннелей), либо программным обеспечением на компьютере. В общем случае, любой компьютер осуществляет маршрутизацию своих собственных исходящих пакетов (как минимум, для разделения пакетов, отправляемых на шлюз по умолчанию и пакетов, предназначенных узлам в локальном сегменте сети). Для маршрутизации чужих IP-пакетов, а также построения таблиц маршрутизации используется различное ПО:

- Сервис RRAS (англ. routing and remote access service) в Windows Server

- Демоны routed, gated, quagga в Unix-подобных операционных системах (Linux, FreeBSD и т.д..)

Рассмотрим  существующую маршрутизацию звонков  в компании. АТС Meridian 11C головного филиала компании подключена к оператору связи потоком Е 1 и имеет номерную емкость 20 городских номеров (7172) ХХХХ00 – (7172) ХХХХ19,  для корпоративных звонков компании, используется внутренняя нумерация 25ХХ. Все звонки направляются на оператора связи (рисунок 8.1)

 

Рисунок 8.1 Существующая схема телефонной связи города Астаны

 

АТС Alcatel Алматинского филиала компании подключена к оператору связи SIP-транком, и имеет емкость 10 городских номеров (7272) ХХХХХ0-(7272) ХХХХХХ9, так же для корпоративных звонков используется внутренняя нумерация 28ХХ. Все звонки направляются по одному маршруту на оператора связи (рисунок 8.2).

Рисунок 8.2 Существующая схема телефонной связи города Алматы

 

АТС Panasonic  308 Атырауского филиала была подключена к оператору связи 3 городскими номерами а внутренняя нумерация 20Х. Было принято решение об списании данной АТС а взамен установить Сервер Asterisk c VoIP шлюзами FXS для подключения аналоговых телефонов, а подключение к оператору связи осуществить SIP-транком (рисунок 8.3).

 

Рисунок 8.3 Существующая схема телефонной связи города Атырау

 

После установки  всех трех IP-PBX Asterisk и настройки между ними SIP-транков каждый с каждым, маршрутизация звонков на АТС будет изменена следующим образом.

На АТС Меридиан 11С, при наборе:

- 87272ХХХХХХ Алматы;

- 87273ХХХХХХ Алматы;

- 87122ХХХХХХ Атырау, необходимо перенаправить звонки на Сервер Asterisk города Астаны, чтобы звонок был направлен по сети VoIP, альтернативой остается оператор связи, в случае проблем на IP-PBX серверах.

А так же внутренние номера, на станцию Asterisk, как основной маршрут без альтернативы, для коротких наборов:

- 28ХХ для коротких наборов номеров филиала г. Алматы

- 20Х для коротких наборов номеров филиала г. Атырау

На АТС Alcatel, необходимо перевести следующие направления, как главный маршрут - Сервер Asterisk, а альтернативу использовать через оператора связи, в случае проблем на серверах Asterisk:

- 87172ХХХХХХ Астана;

- 87122ХХХХХХ Атырау.

А так же внутренний номера, как основной маршрут без  альтернативы, для коротких наборов:

- 25ХХ для коротких наборов номеров филиала г. Астана

- 20Х для коротких наборов номеров филиала г. Атырау

На Сервере Asterisk Атырау, необходимо создать следующие направления, как главный маршрут - Сервера Asterisk Астаны и Алматы, а альтернативу использовать через оператора связи, в случае проблем на серверах Asterisk:

- 87172ХХХХХХ Астана;

- 87272ХХХХХХ Алматы;

- 87273ХХХХХХ Алматы.

А так же внутренний номера, как основной маршрут без  альтернативы, для коротких наборов:

25ХХ для коротких наборов номеров филиала г. Астана

28ХХ для коротких  наборов номеров филиала г.  Алматы

В будущем для  экономии средств по международным звонкам предполагается так же произвести подключение к крупным  провайдерам VoIP

таким как SIPNET и т.д.

Общая схема  корпоративной сети VoIP на базе Asterisk представлена на рисунке 8.4.

 

 

 

 

 

 

 

 

 

 

 

 

Рисунок 8.4 Общая схема корпоративной сети VoIP на базе Asterisk 

9 Настройка безопасности

 

Технология Интернет несет в себе и потенциальную угрозу разглашения персональных данных, важных корпоративных ресурсов и даже государственных тайн, а хакерские атаки становятся все более изощренными и опасными. И поэтому вопросам сетевой безопасности нужно уделять особое внимание, какими бы призрачными не казались эти угрозы.

Каждый день хакеры подвергают угрозе многие ресурсы, пытаясь получить к ним доступ с помощью специальных атак. Этому  способствуют два основных фактора. Во-первых, это повсеместное проникновение  Интернет. Сегодня к сети Интернет подключены миллионы устройств. Многие миллионы устройств будут подключены к ней в ближайшем будущем. И поэтому вероятность доступа хакеров к уязвимым устройствам постоянно возрастает. Кроме того, широкое распространение Интернет позволяет хакерам обмениваться информацией в глобальном масштабе. Простой поиск по ключевым словам типа "хакер", "взлом", "hack", "crack" или "phreak" даст вам тысячи сайтов, на многих из которых можно найти вредоносные коды и способы их использования. Во-вторых, это всеобщее распространение простых в использовании операционных систем и сред разработки. Этот фактор резко снижает уровень знаний и навыков, которые необходимы хакеру. Раньше хакер должен был обладать хорошими навыками программирования, чтобы создавать и распространять простые в использовании приложения. Теперь, чтобы получить доступ к хакерскому средству, нужно просто знать IP-адрес нужного сайта, а для проведения атаки достаточно щелкнуть мышкой.

И чтобы четко  представить возможные угрозы для  безопасности сети или данных, ниже будут перечислены типы существующих атак, а также способы по их предотвращению.

Сетевые атаки  столь же разнообразны, как и системы, против которых они направлены. Некоторые  атаки отличаются большой сложностью. Другие может осуществить обычный  пользователь, даже не предполагающий, какие последствия может иметь его деятельность. Для оценки типов атак необходимо знать некоторые ограничения, изначально присущие протоколу TCP/IP. Сеть Интернет создавалась для связи между государственными учреждениями и университетами в помощь учебному процессу и научным исследованиям. Создатели этой сети не подозревали, насколько широко она распространится, В результате в спецификациях ранних версий Интернет-протокола (IP) отсутствовали требования безопасности. Именно поэтому многие реализации IP являются изначально уязвимыми. Через много лет, получив множество рекламаций (RFC - Request for Comments), наконец, стали внедрять средства безопасности для IP. Однако ввиду того, что изначально средства защиты для протокола IP не разрабатывались, все его реализации стали дополняться разнообразными сетевыми процедурами, услугами и продуктами, снижающими риски, присущие этому протоколу. Далее будут кратко описаны типы атак, которые обычно применяются против сетей IP, и перечислены способы борьбы с ними. На рисунке 9.1 изображена классификация наиболее часто встречающихся сетевых атак.

 

 

Рисунок 9.1 Классификация  сетевых атак

 

Снифферы пакетов

 

Сниффер пакетов  представляет собой прикладную программу, которая использует сетевую карту, работающую в режиме promiscuous mode (в этом режиме все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки). При этом сниффер перехватывает все сетевые пакеты, которые передаются через определенный домен. В настоящее время снифферы работают в сетях на вполне законном основании. Они используются для диагностики неисправностей и анализа графика. Однако ввиду того, что некоторые сетевые приложения передают данные в текстовом формате (Telnet, FTP, SMTP, POP3 и т.д.), с помощью сниффера можно узнать полезную, а иногда и конфиденциальную информацию (например, имена пользователей и пароли). Перехват имен и паролей создает большую опасность, так как пользователи часто применяют один и тот же логин и пароль для множества приложений и систем. Многие пользователи вообще имеют один пароль для доступа ко всем ресурсам и приложениям. Если приложение работает в режиме клиент/сервер, а аутентификационные данные передаются по сети в читаемом текстовом формате, эту информацию с большой вероятностью можно использовать для доступа к другим корпоративным или внешним ресурсам. Хакеры слишком хорошо знают и используют наши человеческие слабости (методы атак часто базируются на методах социальной инженерии). Они прекрасно знают, что мы пользуемся одним и тем же паролем для доступа к множеству ресурсов, и поэтому им часто удается, узнав наш пароль, получить доступ к важной информации. В самом худшем случае хакер получает доступ к пользовательскому ресурсу на системном уровне и с его помощью создает нового пользователя, которого можно в любой момент использовать для доступа в сеть и к ее ресурсам.